略对应的钩子操作函数集中的目标钩子函数。
[0109]在本发明另一实施例中,获取单元501拦截的当前操作,包括:读、写、执行、删除、重命名以及链接中的任意一种或多种。
[0110]在本发明又一实施例中,上述装置应用于linux内核;
[0?11 ]映射单元301,用于获取selinux_ops数据结构的内存地址,并将内存地址映射到第二地址。
[0112]本发明实施例提供的方案,至少能够达到如下有益效果:
[0113]1.通过获取钩子操作函数集的第一地址,并将第一地址映射到第二地址,由于控制安全模块中的钩子操作函数集被修改往往需要重新编译操作系统内核,而通过该映射,可以在映射的第二地址中修改钩子操作函数集,预设各种维护策略;那么,用户在选定要维护的目标之后,只需要为该选定的目标配置所述各种维护策略中的第一目标维护策略,即完成目标的维护策略配置,而无需重新启动操作系统来实现配置,有效的提高了配置维护策略的灵活性。
[0114]2.在本发明实施例中,其应用于linux操作系统上时,可以建立各种维护策略与sel inux中的钩子操作函数集中钩子函数的对应关系,在将当前操作与第二目标维护策略进行匹配之后,可以根据对应关系,运行第二目标维护策略对应的钩子操作函数集中的目标钩子函数,保证了 selinux还能正常运行,也不需要重新编译linux操作系统内核,保证了linux操作系统的正常运行。
[0115]3.在本发明实施例中,通过拦截当前操作,获取当前操作对应的当前进程和/或当前文件;由于前面已经通过web界面为要维护的进程或文件等配置了第一目标维护策略,那么,可以在这第一目标维护策略中,确定当前进程和/或当前文件对应的第二目标维护策略;将当前操作与第二目标维护策略进行匹配,如果当前操作满足第二目标维护策略,则控制操作系统执行当前操作,否则,控制操作系统拒绝当前操作。可以有效的对文件、进程、网络进行控制和保护,也进一步实现了对操作系统安全的维护。
[0?10] 4.在本发明实施例中,设置了web界面,通过该web界面接收选定的至少一个目标,并通过web界面为至少一个目标配置各种维护策略中的目标维护策略,与现有技术中,管理员根据需求按照规范的格式编写规范的代码的方式来为钩子操作函数配置维护策略相比,本发明实施例使配置维护策略简单易操作,有效地降低了配置维护策略的复杂性,同时,提高了配置维护策略的效率和便利性。
[0117]5.由于本发明实施例可以通过为文件和进程等设置维护策略,而这些维护策略可以设定对文件和进程等的读、写、执行、删除、重命名以及链接中的任意一种或多种维护策略,保证了维护的完整性,尽可能地使每一种操作均在被允许的范围内执行,从而提高操作系统的安全性。
[0118]需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃〃〃〃〃〃”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0119]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1.一种实现操作系统安全的方法,其特征在于,包括: 获取钩子操作函数集的第一地址,并将所述第一地址映射到第二地址; 在所述第二地址修改所述钩子操作函数集,预设各种维护策略; 接收选定的至少一个目标,为所述至少一个目标配置所述各种维护策略中的第一目标维护策略。2.根据权利要求1所述的方法,其特征在于,进一步包括:设置web界面; 所述接收选定的至少一个目标,为所述至少一个目标选定所述维护策略中的目标维护策略,包括:通过所述web界面接收选定的至少一个目标,并通过所述web界面为所述至少一个目标配置所述各种维护策略中的目标维护策略。3.根据权利要求1所述的方法,其特征在于,进一步包括: 拦截当前操作; 获取所述当前操作对应的当前进程和/或当前文件; 在所述第一目标维护策略中,确定所述当前进程和/或当前文件对应的第二目标维护策略; 将所述当前操作与所述第二目标维护策略进行匹配,如果所述当前操作满足所述第二目标维护策略,则控制操作系统执行所述当前操作,否则,控制所述操作系统拒绝所述当前操作。4.根据权利要求3所述的方法,其特征在于, 在所述预设各种维护策略之后,在所述接收选定的至少一个目标之前,进一步包括:建立所述各种维护策略与所述钩子操作函数集中钩子函数的对应关系; 在所述将所述当前操作与所述第二目标维护策略进行匹配之后,进一步包括:根据所述对应关系,运行所述第二目标维护策略对应的所述钩子操作函数集中的目标钩子函数;和/或, 所述当前操作,包括:读、写、执行、删除、重命名以及链接中的任意一种或多种。5.根据权利要求1至4任一所述的方法,其特征在于,应用于1inux内核, 所述获取钩子操作函数集的第一地址,并将所述第一地址映射到第二地址,包括:获取sel inux_opS数据结构的内存地址,并将所述内存地址映射到第二地址。6.一种实现操作系统安全的装置,其特征在于,包括: 映射单元,用于获取钩子操作函数集的第一地址,并将所述第一地址映射到第二地址;第一设置单元,用于在所述映射单元映射的第二地址修改所述钩子操作函数集,预设各种维护策略; 配置单元,用于接收选定的至少一个目标,为所述至少一个目标配置所述第一设置单元设置的各种维护策略中的第一目标维护策略。7.根据权利要求6所述的装置,其特征在于,进一步包括:第二设置单元,其中, 所述第二设置单元,用于设置web界面; 所述配置单元,用于通过所述第二设置单元设置的web界面接收选定的至少一个目标,并通过所述web界面为所述至少一个目标配置所述第一设置单元预设的各种维护策略中的目标维护策略。8.根据权利要求6所述的装置,其特征在于,进一步包括:获取单元、确定单元、匹配单元和控制单元,其中,所述获取单元,用于拦截当前操作,并获取所述当前操作对应的当前进程和/或当前文件; 所述确定单元,用于在所述配置单元配置的第一目标维护策略中,确定所述当前进程和/或当前文件对应的第二目标维护策略;所述匹配单元,用于将所述获取单元拦截的当前操作与所述确定单元确定的第二目标维护策略进行匹配,判断所述当前操作是否满足所述第二目标维护策略,并触发控制单元;所述控制单元,用于接收到所述匹配单元触发时,如果所述当前操作满足所述第二目标维护策略,则控制操作系统执行所述当前操作,否则,控制所述操作系统拒绝所述当前操作。9.根据权利要求8所述的装置,其特征在于,进一步包括:构建单元和运行单元,其中, 所述构建单元,用于建立所述第一设置单元预设的各种维护策略与所述钩子操作函数集中钩子函数的对应关系; 所述运行单元,用于根据所述构建单元建立的对应关系,运行所述确定单元确定的第二目标维护策略对应的所述钩子操作函数集中的目标钩子函数; 和/或, 所述获取单元拦截的当前操作,包括:读、写、执行、删除、重命名以及链接中的任意一种或多种。10.根据权利要求6至9任一所述的装置,其特征在于,应用于1inux内核, 所述映射单元,用于获取sel inux_ops数据结构的内存地址,并将所述内存地址映射到第二地址。
【专利摘要】本发明提供一种实现操作系统安全的方法和装置,该方法包括:获取钩子操作函数集的第一地址,并将所述第一地址映射到第二地址;在所述第二地址修改所述钩子操作函数集,预设各种维护策略;接收选定的至少一个目标,为所述至少一个目标配置所述各种维护策略中的第一目标维护策略,从而提高配置维护的灵活性。
【IPC分类】G06F21/62, G06F21/60, G06F17/30
【公开号】CN105468984
【申请号】CN201510808422
【发明人】崔士伟
【申请人】浪潮电子信息产业股份有限公司
【公开日】2016年4月6日
【申请日】2015年11月19日